OpenSSL İçin Kritik DoS Açıklığı
(12.10.2016)
OpenSSL içlerinde yüksek öncelikli DoS saldırısına imkan tanıyan açıklık dahil birçok zafiyet için kriptografi kütüphanesine yama çıkarttı.
OpenSSL açık kaynaklı kriptografi kütüphanesi, birçok güvenli servis ve websitesinde kullanılan SSL ve TLS bağlantılarını sağlıyor.
CVE-2016-6304 kayıtlı kritik açıklık büyük bir OCSP statü talebi gönderilerek bellek kullanımını etkileyerek DoS saldırısına imkan tanımakta. OpenSSL 1.0.1, 1.0.2 ve 1.1.0 sürümlerinde bulunan açıklık 1.0.1u, 1.0.2i ve 1.1.0a sürümlerinde yamalanmış durumda.
Başka bir açıklık da CVE-2016-6305 kayıtlı ve yine DoS saldırısı yapılabilmesine olanak tanıyordu. Sadece 1.1.0 için geçerli olan bu açıklık da son sürümde yamanmış oldu.
Çoğunluğu 1.1.0 sürümünü etkilemeyen 12 güvenlik zafiyeti son yamalar ile kapatılmış oldu.
31 Aralık 2016’da 1.0.1 için desteğin sonlanacağını da düşünürsek güvenliği sağlamak için güncelleme yapmakta fayda var.